Toon posts:

Beveiligingscertificaat fout

Pagina: 1
Acties:

zaterdag 2 oktober 2021 18:18

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
Sinds kort kan ik niet meer in bepaalde site's komen want er wordt steeds dit aangeven:

Je verbinding is niet privé
Cybercriminelen proberen mogelijk je gegevens van nl.hardware.info te stelen (bijvoorbeeld wachtwoorden, berichten of creditcardgegevens). Meer informatie
NET::ERR_CERT_DATE_INVALID
nl.hardware.info gebruikt gewoonlijk versleuteling om je gegevens te beschermen. Toen Brave deze keer probeerde verbinding te maken met nl.hardware.info, retourneerde de website ongewone en onjuiste inloggegevens. Dit gebeurt wanneer een aanvaller probeert zich als nl.hardware.info voor te doen of wanneer een wifi-inlogscherm de verbinding heeft verbroken. Je gegevens zijn nog steeds beveiligd omdat Brave de verbinding heeft beëindigd voordat er gegevens konden worden uitgewisseld.

Je kunt nl.hardware.info momenteel niet bezoeken, omdat de website HSTS gebruikt. Netwerkfouten en aanvallen zijn doorgaans tijdelijk, dus deze pagina werkt later waarschijnlijk correct.

Ook als ik naar bv hardware.info ga en die sites zijn toch wel betrouwbaar, in mails krijg ik ook steeds popup venster met een beveiligingscertificaat fout als ik een mail aanklik van bv hardware.info.
Het gebeurt in google chrome en in edge en brave.

Wat kan dit zijn?

zaterdag 2 oktober 2021 18:28

Acties:
  • 0 Henk 'm!
  • ImNotnoa
  • Registratie: September 2011
  • Niet online

ImNotnoa

Staat de tijd en datum goed? Om welk apparaat gaat het?

Als de tijd en datum goed staat aardige kans dat het hier iets mee te maken heeft:

https://techcrunch.com/20...root-expiry/?guccounter=1

[ Voor 7% gewijzigd door ImNotnoa op 02-10-2021 18:28 ]

Try SCE to Aux

zaterdag 2 oktober 2021 18:35

Acties:
  • +1 Henk 'm!
  • vrotogel
  • Registratie: Oktober 2019
  • Laatst online: 29-05 20:20

vrotogel

leest vooral mee

ImNotnoa schreef op zaterdag 2 oktober 2021 @ 18:28:
Staat de tijd en datum goed? Om welk apparaat gaat het?

Als de tijd en datum goed staat aardige kans dat het hier iets mee te maken heeft:

https://techcrunch.com/20...root-expiry/?guccounter=1
Klopt, er is een update nodig die het DST Root CA X3 verwijdert uit de trusted root certificaties. Niet ieder OS heeft die update op tijd verspreid (o.a. CentOS 7.x) .

Life 's hard and then you die

zondag 3 oktober 2021 00:29

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
ImNotnoa schreef op zaterdag 2 oktober 2021 @ 18:28:
Staat de tijd en datum goed? Om welk apparaat gaat het?

Als de tijd en datum goed staat aardige kans dat het hier iets mee te maken heeft:

https://techcrunch.com/20...root-expiry/?guccounter=1
Windows computer en tijd en datum staan goed.

zondag 3 oktober 2021 00:31

Acties:
  • 0 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

marcel2112 schreef op zondag 3 oktober 2021 @ 00:29:
[...]


Windows computer en tijd en datum staan goed.
Windows 10 met de laatste updates en een browser die ook de laatste updates heeft?

Dit is een probleem dat er al een hele tijd aan zat te komen, dus vrijwel alle recente besturingssystemen en daarop draaiende browsers hebben inmiddels een patch, je zou dit dus op W10 met de laatste Chrome, Edge of Firefox niet tegen moeten komen.

zondag 3 oktober 2021 00:58

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
Oon schreef op zondag 3 oktober 2021 @ 00:31:
[...]

Windows 10 met de laatste updates en een browser die ook de laatste updates heeft?

Dit is een probleem dat er al een hele tijd aan zat te komen, dus vrijwel alle recente besturingssystemen en daarop draaiende browsers hebben inmiddels een patch, je zou dit dus op W10 met de laatste Chrome, Edge of Firefox niet tegen moeten komen.
Nee heb nog windows 7 64bit pc.

zondag 3 oktober 2021 01:05

Acties:
  • +3 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 00:48

AW_Bos

Liefhebber van nostalgie... 🕰️

marcel2112 schreef op zondag 3 oktober 2021 @ 00:58:
[...]


Nee heb nog windows 7 64bit pc.
En die gebruikt de certificaten die verlopen zijn. Wordt het niet eens tijd om te upgraden?
Op 14 januari 2020 is de officiële ondersteuning van Windows 7 al verlopen, en dan loop je inderdaad tegen deze issues aan.

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

zondag 3 oktober 2021 01:09

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
AW_Bos schreef op zondag 3 oktober 2021 @ 01:05:
[...]

En die gebruikt de certificaten die verlopen zijn. Wordt het niet eens tijd om te upgraden?
Op 14 januari 2020 is de officiële ondersteuning van Windows 7 al verlopen, en dan loop je inderdaad tegen deze issues aan.
Nee wil windows 7 houden anders doen veel van mn programmas niet meer en dan vooral mn programmeerbare toetsenbord,lol.
Is het niet mogelijk om die certificaten te omzeilen zodat de sites het gewoon doen?

zondag 3 oktober 2021 01:15

Acties:
  • +2 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 00:48

AW_Bos

Liefhebber van nostalgie... 🕰️

marcel2112 schreef op zondag 3 oktober 2021 @ 01:09:
[...]


Nee wil windows 7 houden anders doen veel van mn programmas niet meer en dan vooral mn programmeerbare toetsenbord,lol.
Is het niet mogelijk om die certificaten te omzeilen zodat de sites het gewoon doen?
Dus je hebt liever een onveilige Windows dan dan een paart functieknoppen op je toetsenbord die niet werkt?
En veel programma's die niet werken? Ik denk dat het toch wel meevalt?

Een oplossing weet ik niet zo 1-2-3, maar de bewuste site kan ook hun certificaat aanpassen. De vraag is echter of ze dat wel doen, want de ondersteuning is niet voor niets weggevallen.

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

zondag 3 oktober 2021 01:19

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
AW_Bos schreef op zondag 3 oktober 2021 @ 01:15:
[...]

Dus je hebt liever een onveilige Windows dan dan een paart functieknoppen op je toetsenbord die niet werkt?
En veel programma's die niet werken? Ik denk dat het toch wel meevalt?

Een oplossing weet ik niet zo 1-2-3, maar de bewuste site kan ook hun certificaat aanpassen. De vraag is echter of ze dat wel doen, want de ondersteuning is niet voor niets weggevallen.
25 programeerbare toetsen,lol en is geen software voor mn toetsenbord voor windows 10 had dat al uitgezocht en zijn vele sites onder ander ook van tweakers en hardware info.

zondag 3 oktober 2021 01:24

Acties:
  • +3 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 00:48

AW_Bos

Liefhebber van nostalgie... 🕰️

Heb je al geprobeerd om dat te draaien?
Veel software voor Windows 7 werkt prima op Windows 10 hoor. :)

Ooit moet je toch over, tenzij je steeds vaker achter obstakels wilt aanhobbelen, en die tijd komt steeds dichterbij.... ;)

[ Voor 14% gewijzigd door AW_Bos op 03-10-2021 01:25 ]

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

zondag 3 oktober 2021 01:40

Acties:
  • +5 Henk 'm!
  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 23:57

Qwerty-273

Meukposter

***** ***

Het certificaat dat hardware.info gebruikt is inderdaad uitgegeven door Let’s Encrypt.

Aangezien jouw computer het nieuwe root cert van Let’s Encrypt niet vertrouwd zal je dit zien bij de tal van websites die een certificaat gebruiken dat uitgegeven is door Let’s Encrypt.

De oplossing is om de ISRG Root X1 en Let’s Encrypt R3 certificaten te importeren op je machine. Dan vertrouw je voortaan de certificaten die door deze root en intermediate zijn uitgegeven. (en je kan ook voor de volledigheid de X2 en E1 certs vertrouwen als je wilt en de R4 en E2)

Deze certificaten kan je gewoon bij Let’s Encrypt zelf terug vinden:
https://letsencrypt.org/certificates/

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

zondag 3 oktober 2021 01:49

Acties:
  • +1 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

marcel2112 schreef op zondag 3 oktober 2021 @ 00:58:
[...]


Nee heb nog windows 7 64bit pc.
Tja dan vraag je er ook om he, die wordt al sinds januari vorig jaar niet meer ondersteund 8)7

Gewoon lekker upgraden naar Windows 10 tenzij je bedrijfskritieke software hebt draaien waarvoor je Microsoft graag miljoenen betaalt voor extra ondersteuning. 9/10 software (zo ook de software voor je toetsenbord) zal zonder problemen onder Windows 10 draaien, en waar dat niet het geval is zijn er opties voor compatibiliteit waarmee het alsnog gewoon zou moeten werken.

zondag 3 oktober 2021 08:15

Acties:
  • +1 Henk 'm!
  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Als je doet wat @Qwerty-273 zegt dan is je probleem opgelost.

Toch nog even een tip over het gebruik van Windows 7: je moet zelf weten dat je die oude meuk wilt blijven gebruiken uiteraard, maar houdt er rekening mee dat als je bijv. internetbankieren gebruikt en er wordt geld van je gestolen door iets van een hack oid, dat je dat geld kwijt bent. De bank doet niets voor je want die zien dat in dit geval als je eigen schuld.

Dat toetsenbordje kan nog wel eens heel duur worden dus.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

zondag 3 oktober 2021 09:34

Acties:
  • 0 Henk 'm!
  • f.v.b
  • Registratie: Januari 2008
  • Laatst online: 16-05 12:29

f.v.b

Zelf de certificaten gaan updaten is het effectiefst.

Je gebruikt nu Windows 7 omdat oude software niet werkt op Windows 10. Dat werkt ook de andere kant op: In dit geval is het Windows 7 die te oud is.

Laat je niet afschrikken door een certificaat waarschuwing. De techniek wordt steeds minder kwetsbaar en het is meestal de persoon achter de knoppen die het beveiligingsprobleem is. Met social engineering en het overnemen van bedrijfsnetwerken valt veel meer te verdienen dan met een enkele laptop of desktop.

Maar je toetsenbord is kapot lees ik. Wordt het niet eens tijd om jezelf te dwingen om te veranderen? Dat is niet leuk, maar wel goed om zo nu en dan eens te doen.

Don't erase all files?
       [Yes]   [No]

zondag 3 oktober 2021 11:19

Acties:
  • +3 Henk 'm!
  • Raggie3
  • Registratie: Mei 2006
  • Laatst online: 09-12-2024

Raggie3

Als quick dirty fix kun je ook Firefox installeren. Die heeft (dacht ik - niet getest) zijn eigen certificaten trust store in de browser zelf zitten ipv dat die van het OS gebruikt worden...

zondag 3 oktober 2021 11:51

Acties:
  • +1 Henk 'm!
  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 07:29

Blokker_1999

Full steam ahead

marcel2112 schreef op zondag 3 oktober 2021 @ 01:19:
[...]


25 programeerbare toetsen,lol en is geen software voor mn toetsenbord voor windows 10 had dat al uitgezocht en zijn vele sites onder ander ook van tweakers en hardware info.
Je zegt dat de software van je toetsenbord niet werkt, maar ... heb je dat eigenlijk wel eens gewoon uitgeprobeerd? Het is niet omdat Windows 10 niet benoemd wordt als compatibel in de specs van die software dat het niet gewoon kan werken ... . Hoewel er uitzonderingen zijn kan ik me niet veel software herinneren die wel werkt op Win7 maar niet op Win10.

En in de toekomst ga je alleen maar tegen meer en meer porblemen aanlopen omdat je een verouderd besturingssysteem gebruikt. En wat ga je doen als je binnen enkele jaren een nieuwe computer moet kopen? Daar kan je niet zomaar snel even opnieuw Windows 7 op installeren want dan heb je net weer een hoop hardware die niet ondersteund zal worden want dan zijn er geen drivers voor.

No keyboard detected. Press F1 to continue.

zondag 3 oktober 2021 11:52

Acties:
  • 0 Henk 'm!
  • Blokker_1999
  • Registratie: Februari 2003
  • Laatst online: 07:29

Blokker_1999

Full steam ahead

Raggie3 schreef op zondag 3 oktober 2021 @ 11:19:
Als quick dirty fix kun je ook Firefox installeren. Die heeft (dacht ik - niet getest) zijn eigen certificaten trust store in de browser zelf zitten ipv dat die van het OS gebruikt worden...
Klopt, Firefox heeft zijn eigen certificate store en maakt, tot mijn groot ongenoegen, geen gebruik van de in Windows ingebakken store.

No keyboard detected. Press F1 to continue.

zondag 3 oktober 2021 12:07

Acties:
  • 0 Henk 'm!
  • JWL92
  • Registratie: April 2017
  • Laatst online: 29-05 13:07

JWL92

We zitten op tweakers, en dan ga je met een win7 machine nog t net op...
Yikes

als dat toetseboard van je echt n must is, voortaaan lekker browsen op je telefoon ofzo...

zondag 3 oktober 2021 12:53

Acties:
  • +1 Henk 'm!
  • Ionicawa
  • Registratie: Augustus 2013
  • Laatst online: 28-05 10:16

Ionicawa

Ik mag toch aannemen dat jouw toetsenbord iets van geheugen heeft om macro's op te slaan? Of ben je daar regelmatig mee aan het knoeien? Om welk toetsenbord gaat het? Ik kan mij haast niet voorstellen dat de software daarvoor niet werkt op w10, tenzij je iets uit de jaren 80 hebt.

zondag 3 oktober 2021 13:00

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
Qwerty-273 schreef op zondag 3 oktober 2021 @ 01:40:
Het certificaat dat hardware.info gebruikt is inderdaad uitgegeven door Let’s Encrypt.

Aangezien jouw computer het nieuwe root cert van Let’s Encrypt niet vertrouwd zal je dit zien bij de tal van websites die een certificaat gebruiken dat uitgegeven is door Let’s Encrypt.

De oplossing is om de ISRG Root X1 en Let’s Encrypt R3 certificaten te importeren op je machine. Dan vertrouw je voortaan de certificaten die door deze root en intermediate zijn uitgegeven. (en je kan ook voor de volledigheid de X2 en E1 certs vertrouwen als je wilt en de R4 en E2)

Deze certificaten kan je gewoon bij Let’s Encrypt zelf terug vinden:
https://letsencrypt.org/certificates/
Maar hoe importeer ik dat dan?Bij mn mail krijg ik wel de optie om het te importeren en dat lukt ook wel maar de volgende keer staat het er weer,dus dat importeren dan werkt dat niet.

zondag 3 oktober 2021 13:01

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
Ionicawa schreef op zondag 3 oktober 2021 @ 12:53:
Ik mag toch aannemen dat jouw toetsenbord iets van geheugen heeft om macro's op te slaan? Of ben je daar regelmatig mee aan het knoeien? Om welk toetsenbord gaat het? Ik kan mij haast niet voorstellen dat de software daarvoor niet werkt op w10, tenzij je iets uit de jaren 80 hebt.
Het is een microsoft office keybord van 20 jaar oud,lol.Had al keer gelezen dat die software niet werkt op een win10.

zondag 3 oktober 2021 13:42

Acties:
  • 0 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

Zoals @ImNotnoa al aangaf, een root cert is verlopen:
pi@ph5b:~ $ openssl x509 -text -noout -in /usr/share/ca-certificates/mozilla/DST_Root_CA_X3.crt
[..]
        Validity
            Not Before: Sep 30 21:12:19 2000 GMT
            Not After : Sep 30 14:01:15 2021 GMT

Voorbeeldje winhelp2002.mvps.org:
pi@ph5b:~ $ echo | openssl s_client -showcerts -connect winhelp2002.mvps.org:443 
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:1
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
notAfter=Sep 30 14:01:15 2021 GMT
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify error:num=10:certificate has expired
notAfter=Sep 29 19:21:40 2021 GMT
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
notAfter=Sep 29 19:21:40 2021 GMT
verify return:1
depth=0 CN = winhelp2002.mvps.org
notAfter=Dec 21 15:00:33 2021 GMT
verify return:1

Ik heb er geen last van omdat deze "signed" is via een andere root CA:
pi@ph5b:~ $ echo | openssl s_client -showcerts -connect dehakkelaar.nl:443
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = dehakkelaar.nl
verify return:1

Vermoedelijk hoeft de sysadmin alleen maar het cert te vernieuwen via de nieuwe ISRG Root X1 chain ... maar dan wel support voor oudere apparaten verliezen (EDIT: als deze geen CA certs kunnen importeren/installeren/updaten):
https://letsencrypt.org/d...xpiration-september-2021/

[ Voor 8% gewijzigd door deHakkelaar op 03-10-2021 14:01 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

zondag 3 oktober 2021 13:51

Acties:
  • 0 Henk 'm!
  • mrdemc
  • Registratie: Juni 2010
  • Laatst online: 08:04

mrdemc

Blokker_1999 schreef op zondag 3 oktober 2021 @ 11:52:
[...]


Klopt, Firefox heeft zijn eigen certificate store en maakt, tot mijn groot ongenoegen, geen gebruik van de in Windows ingebakken store.
offtopic:
Als je dat nodig hebt kun je dat inschakelen. Hier lees je hoe:

https://support.mozilla.o...icate-authorities-firefox

zondag 3 oktober 2021 15:20

Acties:
  • +1 Henk 'm!
  • Raggie3
  • Registratie: Mei 2006
  • Laatst online: 09-12-2024

Raggie3

deHakkelaar schreef op zondag 3 oktober 2021 @ 13:42:


Voorbeeldje winhelp2002.mvps.org:
pi@ph5b:~ $ echo | openssl s_client -showcerts -connect winhelp2002.mvps.org:443 
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:1
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
notAfter=Sep 30 14:01:15 2021 GMT
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify error:num=10:certificate has expired
notAfter=Sep 29 19:21:40 2021 GMT
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
notAfter=Sep 29 19:21:40 2021 GMT
verify return:1
depth=0 CN = winhelp2002.mvps.org
notAfter=Dec 21 15:00:33 2021 GMT
verify return:1
toon volledige bericht
Het probleem is hier dat winhelp2002.mvps.org verkeerd geconfigureerd is. Ze presenteren nog de oude chain vanuit de server. Er is al sinds januari een nieuwe cross signed R3. Maar doordat ze op de server bv de oude chain gekopieerd hebben in het verleden is die niet automatisch bijgewerkt door certbot. Zie ook hier dat path1 verlopen is:
https://www.ssllabs.com/s...2.mvps.org&hideResults=on

Bij een goede configuratie zijn beide paden groen. En heb je in het eerste pad de nieuwe cross signed R3 die bv nog compatible is met oude cleints.
Als voorbeeld is nl.hardware.info wel goed geconfigureerd:
https://www.ssllabs.com/s...nfo&hideResults=on&latest

Dit topic legt dat in meer detail uit:
https://community.letsenc...ate-has-expired/160797/56

Enkel X1 als chain geven is ook een oplossing maar minder compatible met oudere apparaten en applicaties

zondag 3 oktober 2021 15:34

Acties:
  • +1 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

@Raggie3 , aha, had niet op alle linkjes geklikt.
Doc met het cross-signing en plaatjes ;)
https://letsencrypt.org/2...ndroid-compatibility.html

EDIT:
pi@ph5b:~ $ echo | openssl s_client -showcerts -connect nl.hardware.info:443         CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = nl.hardware.info
verify return:1
[..]
Certificate chain
 0 s:CN = nl.hardware.info
   i:C = US, O = Let's Encrypt, CN = R3
[..]
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
[..]
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
[..]

[ Voor 75% gewijzigd door deHakkelaar op 03-10-2021 15:51 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

zondag 3 oktober 2021 16:47

Acties:
  • +1 Henk 'm!
  • fastedje
  • Registratie: Oktober 2016
  • Laatst online: 19-05 11:47

fastedje

Je kan prima nieuwe CA certificaten toevoegen in je browser. Ook op een oude android kan je nieuwe CA certificaten toevoegen. Het probleem met oude OSen is natuurlijk groter: er zijn best wel een aantal critieke CVEs in Windows gevonden zoals een printer spoiler die zo lek is als een mandje. Ik zou als je echt niet zonder Windows 7 kan dit op zijn minst in een VM draaien zodat de impact van een hack of malware beperkt blijft tot je VM.

zondag 3 oktober 2021 17:09

Acties:
  • +1 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

@fastedje , die certs worden niet alleen voor browsers toegepast:
pi@ph5b:~ $ echo | openssl s_client -showcerts -connect sslreader.eweka.nl:563
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = *.eweka.nl
verify return:1

There are only 10 types of people in the world: those who understand binary, and those who don't

zondag 3 oktober 2021 17:31

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
fastedje schreef op zondag 3 oktober 2021 @ 16:47:
Je kan prima nieuwe CA certificaten toevoegen in je browser. Ook op een oude android kan je nieuwe CA certificaten toevoegen. Het probleem met oude OSen is natuurlijk groter: er zijn best wel een aantal critieke CVEs in Windows gevonden zoals een printer spoiler die zo lek is als een mandje. Ik zou als je echt niet zonder Windows 7 kan dit op zijn minst in een VM draaien zodat de impact van een hack of malware beperkt blijft tot je VM.
Maar hoe voeg ik die toe?

zondag 3 oktober 2021 19:25

Acties:
  • 0 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

@marcel2112 , Android?
Vond deze voor A-droid V11 in:

Settings -->
Biometrics and security -->
Other security settings -->
Install from device storage -->
CA cerificate

Ik vermoed dat je de "Cross-signed by DST Root CA X3" pem versie nodig hebt:
https://letsencrypt.org/certificates/

There are only 10 types of people in the world: those who understand binary, and those who don't

zondag 3 oktober 2021 19:34

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
deHakkelaar schreef op zondag 3 oktober 2021 @ 19:25:
@marcel2112 , Android?
Vond deze voor A-droid V11 in:

Settings -->
Biometrics and security -->
Other security settings -->
Install from device storage -->
CA cerificate

Ik vermoed dat je de "Cross-signed by DST Root CA X3" pem versie nodig hebt:
https://letsencrypt.org/certificates/
Nee in windows

zondag 3 oktober 2021 19:40

Acties:
  • 0 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

@marcel2112 , Plak .crt achter het .pem bestandsnaam, dubbel klik/open en klik "Install Certificate".

EDIT: Ik geloof ook dat de meeste browsers er hun eigen cert store op nahouden.
Geen idee of browsers ook de Windows cert store gebruiken/respecteren.

[ Voor 39% gewijzigd door deHakkelaar op 03-10-2021 19:44 ]

There are only 10 types of people in the world: those who understand binary, and those who don't

zondag 3 oktober 2021 20:24

Acties:
  • +2 Henk 'm!
  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 23:57

Qwerty-273

Meukposter

***** ***

@marcel2112 de manier die @deHakkelaar aangeeft is wellicht het makkelijkste. Want dan zet Windows ze ook automagisch in de juiste plek.Om het handmatig te doen, zie voor de root certificaten het kopje "Importing a CA certificate into the local machine certificate store" op https://www.sonicwall.com...te-store/170504615105398/

De intermediate certificaten plaats je in het mapje "Intermediate Certification Authorities".

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

zondag 3 oktober 2021 20:51

Acties:
  • 0 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
Probleem is dat nergens zie waar ik certificaten kan downloaden?🤔

zondag 3 oktober 2021 21:17

Acties:
  • +3 Henk 'm!
  • amx
  • Registratie: December 2007
  • Laatst online: 24-05 21:22

amx

marcel2112 schreef op zondag 3 oktober 2021 @ 20:51:
Probleem is dat nergens zie waar ik certificaten kan downloaden?🤔
Dat komt omdat je niet goed leest. Het is door Qwerty-273 letterlijk voorgekauwd. Al is het wel wat bedolven onder de stapel "upgrade naar Windows 10" berichten.

zondag 3 oktober 2021 21:28

Acties:
  • +3 Henk 'm!
  • Qwerty-273
  • Registratie: Oktober 2001
  • Laatst online: 23:57

Qwerty-273

Meukposter

***** ***

De directe linkjes:

Roots:
https://letsencrypt.org/certs/isrgrootx1.der
https://letsencrypt.org/certs/isrg-root-x2.der

Intermediates:
https://letsencrypt.org/certs/lets-encrypt-r3.der
https://letsencrypt.org/certs/lets-encrypt-e1.der
https://letsencrypt.org/certs/lets-encrypt-r4.der
https://letsencrypt.org/certs/lets-encrypt-e2.der

Die importeer je dan in de Windows certificaten store via de eerder genoemde methode. De meeste programma's kunnen er dan direct van gebruik maken. Een programma dat een eigen store gebruikt daar zal je dan eventueel de certificaten ook nog apart moeten importeren.

[ Voor 28% gewijzigd door Qwerty-273 op 03-10-2021 21:36 ]

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

zondag 3 oktober 2021 22:00

Acties:
  • +4 Henk 'm!
  • marcel2112
  • Registratie: December 2010
  • Laatst online: 21-05 21:45

marcel2112

Topicstarter
Wow tis gelukt,had dat bericht niet goed gelezen,sorry,stond ook zoveel haha, allemaal hartelijk dank voor deze oplossing.Wordt zeer gewaardeerd. _/-\o_ :)

maandag 4 oktober 2021 19:22

Acties:
  • +2 Henk 'm!
  • fastedje
  • Registratie: Oktober 2016
  • Laatst online: 19-05 11:47

fastedje

Mocht je meer met SSL certificaten willen doen (bekijken/converteren), dan is het openssl commando het Zwitsers zakmes hiervoor.

De commandline opties zijn niet echt gemaakt voor beginners, maar als je even googlet op wat je zoekt dan heb je zo wat voorbeelden te pakken.

Je kan zoal:
  • certificaten op een server port laten zien
  • certificaten van formaat converteren
  • certificaten requests genereren, maar ook self-signed certificaties

dinsdag 5 oktober 2021 09:08

Acties:
  • +1 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

Ik gebruik ook openssl voor alles SSL/TLS gerelateerd (key, CSR, signing en testen).
Alleen met web sites moet je rekening houden dat een web server meerdere certs kan aanbieden via de SNI TLS extensie.
Maar die vallen ook te checken als je het -servername argument gebruikt:
pi@ph5b:~ $ echo | openssl s_client -connect nl.hardware.info:443 -servername nl.hardware.info
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = nl.hardware.info
verify return:1
---
Certificate chain
 0 s:CN = nl.hardware.info
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
[..]

Als je met een browser verbindt (of welk andere app), zal het cert van de site zelf gecommuniceerd worden:
pi@ph5b:~ $ echo | openssl s_client -connect nl.hardware.info:443 -servername nl.hardware.info | openssl x509 -noout -text
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = nl.hardware.info
verify return:1
DONE
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            04:65:ba:0c:dc:5e:ff:91:ce:91:84:c7:04:26:12:e0:71:c0
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Let's Encrypt, CN = R3
        Validity
            Not Before: Sep 21 02:06:45 2021 GMT
            Not After : Dec 20 02:06:44 2021 GMT
        Subject: CN = nl.hardware.info
[..]

De root CA certs die voor validatie worden gebruikt horen al vooraf geinstalleerd in je OS te zijn (cert store):
pi@ph5b:~ $ find /etc/ssl/certs/ -iname '*dst*' -or -iname '*isrg*'
/etc/ssl/certs/ISRG_Root_X1.pem
/etc/ssl/certs/DST_Root_CA_X3.pem

Intermediate certs, zoals het R3 cert in bovenstaande voorbeeld, worden meestal meegecommuniceerd zodra je een verbinding maakt of kunnen ook in de cert store worden opgeslagen.

Wat ik van dit alles opmaak is dat er door het verlopen DST cert, er twee situaties kunnen onstaan.

1) Oudere clients hebben mogelijk het nieuwere cross signed ISRG cert niet geinstalleerd waardoor de validatie mislukt vanwege het verlopen DST CA cert:
pi@ph5b:~ $ openssl x509 -text -noout -in /etc/ssl/certs/DST_Root_CA_X3.pem
[..]
        Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3
        Validity
            Not Before: Sep 30 21:12:19 2000 GMT
            Not After : Sep 30 14:01:15 2021 GMT
        Subject: O = Digital Signature Trust Co., CN = DST Root CA X3
[..]


2) Of aan de server kant hebben ze een cert gegenereerd met nog de oude cert chain:
pi@ph5b:~ $ echo | openssl s_client -connect winhelp2002.mvps.org:443 -servername winhelp2002.mvps.org
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:1
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
notAfter=Sep 30 14:01:15 2021 GMT
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify error:num=10:certificate has expired
notAfter=Sep 29 19:21:40 2021 GMT
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
notAfter=Sep 29 19:21:40 2021 GMT
verify return:1
depth=0 CN = winhelp2002.mvps.org
notAfter=Dec 21 15:00:33 2021 GMT
verify return:1
---
Certificate chain
 0 s:CN = winhelp2002.mvps.org
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
[..]

Tov. een juiste chain:
pi@ph5b:~ $ echo | openssl s_client -connect nl.hardware.info:443 -servername nl.hardware.info
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = nl.hardware.info
verify return:1
---
Certificate chain
 0 s:CN = nl.hardware.info
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
[..]

Corrigeer mij als ik er naast zit svp?

Ow @Qwerty-273 , ik wist niet dat je .des files direct in Windows kan importeren dus de .pem hernoemen naar .crt is voor Windows niet nodig.
Handig om te weten ;)

There are only 10 types of people in the world: those who understand binary, and those who don't

dinsdag 5 oktober 2021 18:24

Acties:
  • 0 Henk 'm!
  • fastedje
  • Registratie: Oktober 2016
  • Laatst online: 19-05 11:47

fastedje

@deHakkelaar: ja dit klopt voor zover ik kan zien, als er een certificaat in de chain wordt vertrouwd dan wordt het certificaat ook vertrouwd. De meeste browsers hebben ook een ingebouwde lijst van root CA certs die ze vertrouwen. Volgens mij werkt de CA cert store op OS niveau als fallback.

Ik heb ook al eens gezien dat een root CA cert van UserTrust verliep voordat het certificaat zelf verliep. De CA heeft op de een of andere manier een andere intermediate CA cert uitgenomen die wel automatisch werd vertrouwd door recente browsers. Ik heb ook geen idee waarom Letsencrypt niet zo'n gebruikersvriendelijke oplossing heeft gebruikt.

dinsdag 5 oktober 2021 18:38

Acties:
  • 0 Henk 'm!
  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 27-07-2024

deHakkelaar

@fastedje , dit stukje is belangrijk waardoor het nog blijft werken terwijl dat DST cert toch is verlopen:
But isn’t DST Root CA X3 expiring? The self-signed certificate which represents the DST Root CA X3 keypair is expiring. But browser and OS root stores don’t contain certificates per se, they contain “trust anchors”, and the standards for verifying certificates allow implementations to choose whether or not to use fields on trust anchors. Android has intentionally chosen not to use the notAfter field of trust anchors. Just as our ISRG Root X1 hasn’t been added to older Android trust stores, DST Root CA X3 hasn’t been removed. So it can issue a cross-sign whose validity extends beyond the expiration of its own self-signed certificate without any issues.
https://letsencrypt.org/2...ndroid-compatibility.html

There are only 10 types of people in the world: those who understand binary, and those who don't

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq